天穹沙箱分析系统

恶意代码分析与检测能力是网络安全的基础能力。静态分析动态分析是当前恶意代码分析的主要方式,静态分析查其“形”,动态分析查其“行”,两者相辅相成,互相补充,缺一不可。而动态沙箱分析是动态分析的重要形式和组成部分,沙箱分析系统的能力直接决定了样本的快速自动化分析能力!

天穹沙箱是一款基于硬件虚拟化技术、软件动态分析技术、控制流完整性分析技术等技术方法研制的,面向软件行为动态分析的系统。天穹沙箱系统采用out-of-box分析模式,在分析环境透明性、行为分析粒度、样本分析能力、分析数据提取能力都优于Cuckoo沙箱及其他常见的基于in-box分析模式的沙箱系统。

天穹沙箱通过完全模拟虚拟环境中的各种硬件,在此基础上运行Windows、Linux、Android等多种主流操作系统,构建一个纯净的、透明的、面向恶意代码分析和检测的虚拟化动态分析环境。天穹沙箱能够控制和操纵底层虚拟硬件的各个方面,可以直接从虚拟系统的CPU和内存等虚拟硬件读取所需的数据,不对虚拟操作系统进行任何修改,从而保证分析过程的透明性,避免潜在的恶意代码干扰和对抗。

得益于系统独特的分析架构,天穹沙箱支持指令级的动态分析,具备控制流转移异常检测、CPU模式异常切换检测、UAF攻击检测、shellcode执行检测等高级检测能力,并首创了boot sector动态加载检测分析过程智能重启虚拟系统时钟动态加速操作系统崩溃检测等多项业界领先的分析功能。


此外,天穹沙箱系统在软件环境仿真、硬件特征仿真、数据环境仿真、用户交互仿真、网络环境仿真、延时机制处理等沙箱分析环境仿真方面做了大量的优化,突破了一百多种沙箱反制与动态分析对抗技术,可以对抗al-khaser、pafish等反虚拟化、反自动化分析工具的探测和干扰。

目前,天穹沙箱系统已经应用在文件威胁检测样本深度分析威胁情报提取等相关产品和服务中。

基于天穹沙箱系统的公网云沙箱服务即将上线,敬请期待!